Mozilla Firefox

[Sapfira 608]

Вышел Firefox Quantum 62.0.2.

Странно, как-то, через 62.0.1 перескочили.

[Friend 1 246]

Вышел Firefox Quantum 62.0.2.

Подготовлен корректирующий выпуск Firefox 62.0.2, в котором исправлено несколько ошибок и устранена уязвимость (CVE-2018-12385), способная привести к краху при обработке определённым образом оформленных данных в локальном кэше.

Среди исправленных ошибок:

• Решены проблемы с отображением некоторых сайтов, включая очень долгую отрисовку Google Maps (из-за ошибки в Firefox карта прорисовывалась 25 секунд вместо 5 в Chrome);
• Возобновлена совместимость с сайтами, использующими устаревшие настройки TLS (возвращена поддержка TLS_DHE_RSA_WITH_AES_256_CBC_SHA);
• Исправлена ошибка, приводившая к игнорированию ранее не открытых закладок при автодополнении ввода в адресной строке;
• Решены проблемы с рендерингом WebGL (не отрисовывались полигоны);
• Устранена неработоспособность браузера после перезапуска в случае обновления языкового пакета при открытом браузере;
• Обеспечена корректная загрузка языкового набора по умолчанию, если дополнительно установленный языковой пакет был удалён (например, зафиксировано удаление антивирусом Avast);
• Реализовано корректное восстановление размера и позиции окна после перезапуска Windows;
• Устранён крах при совместном использовании одного профиля настроек с более новым выпуском Firefox, находящимся в разработке;
• Добавлена возможность отмены удаления поискового движка, которая не работала в случае установки языкового пакета;
• Решены проблемы с отображением в macOS на системах с несколькими мониторами.

[Friend 1 246]

Опубликован корректирующий выпуск Firefox 62.0.3, в котором исправлено несколько ошибок и устранены две уязвимости. Не связанные с безопасностью исправления затрагивают только платформу macOS. Уязвимостям присвоен критический уровень опасности и они также устранены в обновлении ESR-ветки Firefox 60.2.2. В своём сочетании уязвимости могут использоваться для создания многоуровневого эксплоита, позволяющего получить контроль за окружением пользователя.
 

Первая уязвимость (CVE-2018-12386) позволяет создать условия для некорректной интерпретации типов JavaScript и организовать запись и чтение в произвольные области памяти процесса. Уязвимость можно использовать для организации выполнения кода злоумышленника внутри sandbox-окружения процесса обработки контента.
 

Вторая уязвимость (CVE-2018-12387) вызвана некорректным inline-раскрытием кода Array.prototype.push при JIT-компиляции. При указании многобайтовых аргументов указатель стека может быть смещён на 8 байтов относительно ожидаемого значения. Указанную особенность можно использовать для получения информации об адресе вызванной функции, хранящемся в стеке, который, в свою очередь, может применяться для организации выхода из sandbox-окружения.

[Friend 1 246]

Mozilla экспериментирует с добавлением платного VPN в Firefox :

 

Компания Mozilla намерена начать эксперимент по поставке в Firefox встроенной возможности работы через VPN. Эксперимент стартует в понедельник 22 октября и затронет лишь небольшое число пользователей англоязычной сборки Firefox 62 из США. Случайно выбранным участникам эксперимента будет установлен системное дополнение, позволяющее подключаться к сайтам через шифрованный VPN. Доступ будет только платным (около $10 в месяц) и эти средства Mozilla планирует использовать как один из источников монетизации.

Работа будет организована через коммерческий VPN-сервис ProtonVPN. Решение в пользу ProtonVPN было принято, так как данный сервис обеспечивает достаточно высокий уровень защиты канала связи ( поток шифруется при помощи AES-256, обмен ключами осуществляется на основе 2048-битных RSA-ключей и HMAC, для аутентификации используется SHA-256, имеется защита от атак, основанных на корреляции потоков данных), сервис не сохранят логов и информации о пользователях, а также рассматривает в качестве своей главной цели повышение безопасности и приватности в Web.

Сервис ProtonVPN вызывает двоякие впечатления. С одной стороны продукт проприетарный и в прошлом месяце в Windows-клиенте ProtonVPN была выявлена уязвимость, позволявшая пользователю поднять свои привилегии в системе до администратора (уязвимость была вызвана некорректным взаимодействием между непривилегированным GUI-клиентом и системным сервисом). С другой стороны, ProtonVPN развивается вместе с хорошо зарекомендовавшим себя сервисом ProtonMail, основанным бывшими сотрудниками ЦЕРН (Европейская организация по ядерным исследованиям) с целью противостояния контроля за частными данными в интернет. Серверы компании размещены только в Швейцарии, Исландии и Швеции, странах, имеющих собственные жёсткие законодательства в области защиты частной жизни, не позволяющие спецслужбам контролировать информацию.

 

 

[Friend 1 246]

Релиз Firefox 63 :

 

Состоялся релиз web-браузера Firefox 63, а также мобильной версии Firefox 63 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 60.3.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 64, релиз которой намечен на 11 декабря.

Основные новшества:

• Предложен набор настроек для управления блокированием контента. Пользователь может включить блокировку любых сторонних Cookie и скриптов, применяемых для отслеживания перемещений (блокировка по базе disconnect.me). Блокировщик пока предлагается опционально, но запланирован для включения по умолчанию в Firfox 65.

  Для каждого сайта в адресной строке показывается специальный значок, отображающий статус блокировки скриптов и Cookie. Предоставляется возможность добавления исключений для выбранных сайтов, которые не могут корректно работать при блокировке скриптов отслеживания.

  
• На платформе Linux в отдельный процесс вынесено выполнение дополнений на базе WebExtensions (для Windows и macOS отдельный процесс для WebExtensions уже был задействован в Firefox 56 и Firefox 61). Выполнение в отдельном процессе позволяет изолировать дополнения и снизить влияние ошибок в дополнениях на стабильность работы браузера. Напомним, что ранее в отдельные процессы Firefox уже вынесены обработчики контента, а также код для обработки графики и доступа к локальным файлам;
• Добавлена экспериментальная поддержка видеокодека AV1. AV1 позиционируется как общедоступный и не требующий оплаты отчислений свободный формат кодирования видео, который заметно опережает H.264 и VP9 по уровню сжатия. По умолчанию кодек отключен (в about:config следует установить опцию "media.av1.enabled = true");
• Для пользователей из США на стартовую страницу добавлены специальные ярлыки для Google и Amazon и связанные с ними ключи быстрого перехода "@google" и "@amazon". При клике на новые ярлыки вместо перехода на сайт осуществляется подстановка ключа с предложением ввести поисковый запрос из адресной строки. Как и обычные кнопки быстрого перехода со стартовой страницы поисковые ярлыки могут быть удалены или перемещены;
• При попытке закрытия основного окна браузера, в котором остаётся более одной вкладки, или при выходе через меню при наличии нескольких открытых окон, теперь выводится предупреждение с диалогом для подтверждения выхода;
• Обзор вкладок, отображаемый по "Ctrl+Tab", теперь показывает не значки, а эскизы окон всех вкладок и прокручивает вкладки в порядке последнего обращения пользователя. Для возврата старого поведения в настройки добавлена опция "Ctrl+Tab cycles through tabs in recently used order";
• Firefox теперь определяет активность в операционной системе настроек для людей с ограниченными возможностями (Accessibility) и убирает лишнюю анимацию;
• Удалена функция открытыия отдельных закладок в боковой панели ("Open in Sidebar" в "Library");
• Из настроек about:preferences удалена опция для отключения проверки наличия обновлений ("Never check for updates"). Оставлены только опции для автоматической установки обновлений и установки после подтверждения пользователем;
• Добавлена поддержка спецификации Shadow DOM, предоставляющей средства для комбинирования нескольких деревьев DOM в одну иерархию. API Shadow DOM позволяет решить проблемы с влиянием импортируемых сторонних стилей на другие элементы, давая возможность отделить стиль элемента и связанную с ним подветку DOM от основного документа;
• Обеспечена поддержка спецификации Custom Elements, позволяющей добавлять собственные HTML-элементы, расширяющие функциональность существующих HTML-тегов (например, для тега button можно добавить анимацию);
• В HTML-тег "img" добавлен атрибут "decoding", при помощи которого можно определить метод декодирования изображения (sync, async, auto);
• Добавлен метод Object.fromEntries(), преобразующий список пар в формате ключ/значение в объект;
• Добавлено свойство Symbol.prototype.description, возвращающее описание символа. Например, "Symbol.iterator.description" вернёт "Symbol.iterator";
• CSS-свойства offset-* переименованы в inset-block-start, inset-block-end, inset-inline-start и inset-inline-end;
• В CSS добавлен псевдокласс ":defined", представляющий любой определённый элемент;
• Добавлен API Media Capabilities, представляющий сведения о возможностях кодирования и декодирования для заданного устройства, поддержке форматов, а также статистике о производительности и эффективности потребления энергии во время воспроизведения звука или видео;
• Добавлен API Async Clipboard для асинхронной работы с буфером обмена, позволяющий читать и записывать данные в буфер обмена с использованием механизма Promise. Например, для чтения из буфера обмена можно указать "const data = await navigator.clipboard.readText()", а для записи 'await navigator.clipboard.writeText("Hello, clipboard.")';
• Добавлен интерфейс SecurityPolicyViolationEvent, позволяющий генерировать события при нарушении Content-Security-Policy;
• Включена по умолчанию порция свойств и интерфейсов Web Animations API: ready, finished, effect, KeyframeEffect и AnimationEffect;
• Реализован метод Element.toggleAttribute(), позволяющий инвертировать булевый атрибут - удалить, если он установлен, или добавить, если он отсутствует;
• Добавлено свойство Window.event, возвращающий установленный сайтом обработчик событий. Удалены методы Window.back() и Window.forward(), которые не поддерживаются в других браузерах;
• Микрофон теперь одновременно может быть доступен в разных вкладках;
• Изменено стилевое оформление меню в инструментах для разработчиков/
• В систему инспектирования добавлен встроенный редактор шрифтов, позволяющий посмотреть используемые на странице шрифты и управлять параметрами как обычных, так и изменчивых шрифтов на странице;
• В режиме инспектирования сети (Network Monitor) добавлена пиктограмма (перечёркнутый щит) для выделения из общего потока запросов URL известных систем отслеживания перемещений;
• Включён по умолчанию режим инспектирования средств для людей с ограниченными возможностями (Accessibility inspector), позволяющий оценить какие из Accessibility API используются на странице и какую информацию удаётся извлечь;
• Прекращён показ системных дополнений на странице about:debugging (для показа в about:config следует установить опцию devtools.aboutdebugging.showSystemAddons);
• Улучшена поддержка платформы Windows: Для формирования сборок для платформы Windows задействован компилятор Clang, что положительно сказалось на производительности. Тема оформления сборок для Windows теперь адаптируется к тёмным и светлым режимам интерфейса Windows 10;
• Увеличена производительность сборки для macOS: Улучена отзывчивость интерфейса и ускорено переключение между вкладками. Для WebGL добавлена возможность выбора GPU (атрибут powerPreference), позволяющая на системах с несколькими GPU в приложениях не требующих особо высокой графической производительности задействовать GPU, потребляющий меньше энергии;
• В версии для Android добавлена возможность просмотра видео поверх контента в режиме "картинка в картинке" (Picture-In-Picture), добавлена поддержка каналов уведомлений и задействованы дополнительные оптимизации производительности и безопасности на платформе Android 8.0 "Oreo".

Кроме новшеств и исправления ошибок в Firefox 63 устранена серия уязвимостей, из которых несколько помечены как критические, т.е. могут привести к выполнению кода злоумышленника при открытии специально оформленных страниц. В настоящее время информация с подробностями об исправленных проблемах безопасности недоступна, ожидается, что перечень уязвимостей будет опубликован в течение нескольких часов.

 

 

[Friend 1 246]

Обновление Firefox 63.0.1 и Thunderbird 60.3.0:

 

Подготовлен корректирующий выпуск Firefox 63.0.1, в котором исправлено несколько ошибок:

• Решена проблема с отображением подсказок-рекомендаций (snippets) на странице, показываемой при открытии новой вкладки;
• Налажена работа опции масштабирования по размеру страницы в интерфейсе предпросмотра перед выводом на печать (макеты показывались только в масштабе 30%);
• В диалоге подтверждения закрытия нескольких окон для некоторых локалей (в том числе ru, fr и de) отображался заполнитель "%1$S".

Одновременно сформирован новый выпуск почтового клиента Thunderbird 60.3.0, в котором устранено 19 критических уязвимостей (сведены под CVE-2018-12390) и исправлено несколько ошибок. В частности, устранены проблемы, связанные с темой оформления, перезаписью файлов при сохранении, редактированием шаблонов, фильтрацией заголовков и вложений, автодополнением адресов списков рассылки.

Дополнительно можно отметить о включении в бета-версию Firefox 64 системы композитинга Servo WebRender, написанной на языке Rust и выносящей на сторону GPU операции отрисовки содержимого страницы. При использовании WebRender вместо встроенной в движок Gecko системы композитинга, обрабатывающей данные при помощи CPU, для выполнения операций сводной отрисовки элементов страницы используются шейдеры, выполняемые в GPU, что позволяет добиться существенного увеличения скорости отрисовки и снизить нагрузку на CPU. WebRender пока предложен по умолчанию для тестирования только пользователям видеокарт NVIDIA с ОС Windows 10. Активировать WebRender вручную на системах с другими видеокартами и ОС можно через переменную "gfx.webrender.all.qualified" в about:config.

Из изменений в Firefox 64-beta также можно отметить возможность одновременного выделения нескольких вкладок для их перемещения, приглушения звука, добавления в закладки или закрепления. Полностью переработано оформление страницы about:crashes. Удалена поддержка предпросмотра RSS-лент и режима Live Bookmarks, позволяющего просматривать новости по подписке в форме обновляющихся закладок.

 

 

[znamenka 12]

Firefox Quantum 63.0.3 Final

• Устранено зависание WebGL-игр, использующих движок Unity, через некоторое время после их запуска;
  
• Исправлена ошибка, приводившая к замедлению работы некоторых конфигураций, использующих прокси;
  
• По умолчанию в фоновых вкладках отключено урезание пропускной способности HTTP-ответов, так как это приводит к проблемам при фоновом воспроизведении видео;
  
• Решены проблемы с открытием magnet-ссылок;
  
• Устранено несколько ошибок, приводящих к краху.
  

[Friend 1 246]

Компания Mozilla объявила о включении для всех пользователей системного дополнения Firefox Monitor, которое осуществляет вывод предупреждения в случае открытия ранее скомпрометированных сайтов, база пользователей которых оказалась в руках злоумышленников. При посещении ранее взломанных сайтов пользователю предлагается через сервис monitor.firefox.com проверить свой email на предмет наличия в известных базах взломанных аккаунтов.

Дополнение будет активировано постепенно в ближайшие недели. Проверка осуществляется через интеграцию с базой данных проекта haveibeenpwned.com, включающей сведения о более чем 5.5 миллиардах учётных записей, похищенных в результате взломов более 320 сайтов. Предупреждение выводится только для сайтов, информация о взломах которых добавлена в базу haveibeenpwned.com в течение последних 12 месяцев. В случае если с момента появления данных о взломе не прошло 2 месяцев будет показано повторное предупреждение.

[Friend 1 246]

Новый этап тестирования DNS поверх HTTPS в Firefox :

 

Разработчики Mozilla анонсировали третий этап тестирования функции обращения к DNS поверх HTTPS (DoH, DNS over HTTPS), на котором небольшой части пользователей Firefox из США будет предложено активировать DoH и принять участие в тестировании (при нежелании пользователь сможет отказаться). Если первые два этапа тестирования проводились на пользователях ночных сборок и бета-выпусков, то на третьем этапа DoH будет предложен пользователям релизов.

Отмечается, что первые два этапа тестирования продемонстрировали неплохие показатели ускорения при работе через медленные каналы связи. У пользователей с высокоскоростным доступом к сети отмечалось замедление на уровне 6 миллисекунд, которое признано несущественным и незаметным в процессе работы. Если первые два этапа измеряли производительность непосредственно операций с DNS, то на третьем этапе планируется оценить общую картину, учитывающую и время загрузки тестовой страницы.

Раз в сутки браузер будет измерять скорость загрузки специальной тестовой страницы, что позволит оценить изменение эффективности локализации обращений через сети доставки контента (CDN). DNS-сервер CDN-сети формирует ответ, учитывая адрес резолвера и выдаёт ближайший хост для получения контента. При отправке DNS-запроса c ближайшего к пользователю резолвера CDN вернёт адрес ближайшего хоста, но при отправке DNS-запроса с централизованного резолвера ближайший к пользователю хост определить не получится. Поэтому при использовании DoH важно учитывать не только производительность операций с DNS, но и дополнительные задержки, которые могут возникнуть из-за снижения эффективности загрузки контента через CDN.

Для включения DoH на системах не приглашённых для участия в тестировании, достаточно в about:config изменить значение переменной network.trr.mode, которая поддерживается начиная с Firefox 60. Значение 0 полностью отключает DoH; 1 - используется DNS или DoH, в зависимости от того, что быстрее; 2 - используется DoH по умолчанию, а DNS как запасной вариант; 3 - используется только DoH; 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно. По умолчанию используется DNS-сервер CloudFlare, но его можно изменить через параметр network.trr.uri, например, можно установить "https://dns.google.com/experimental"или "https://9.9.9.9/dns-query".

Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика, противостояния блокировкам на уровне DNS или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

 

 

[sputnikk 1 310]

Релиз Firefox 64

[Marianna77 1]

Отличный браузер, пользуюсь им уже долгое время, пока всё устраивает.

Компания Mozilla объявила о включении для всех пользователей системного дополнения Firefox Monitor, которое осуществляет вывод предупреждения в случае открытия ранее скомпрометированных сайтов, база пользователей которых оказалась в руках злоумышленников. При посещении ранее взломанных сайтов пользователю предлагается через сервис monitor.firefox.com проверить свой email на предмет наличия в известных базах взломанных аккаунтов.

Дополнение будет активировано постепенно в ближайшие недели. Проверка осуществляется через интеграцию с базой данных проекта haveibeenpwned.com, включающей сведения о более чем 5.5 миллиардах учётных записей, похищенных в результате взломов более 320 сайтов. Предупреждение выводится только для сайтов, информация о взломах которых добавлена в базу haveibeenpwned.com в течение последних 12 месяцев. В случае если с момента появления данных о взломе не прошло 2 месяцев будет показано повторное предупреждение.

Кстати, а если адрес засветился после проверки, то значит он попал к каким-то хакерам?

[sputnikk 1 310]

Редко пользуюсь, сейчас заметил. Иконки дополнений стали сплюснутыми

[oit 2 139]

@sputnikk, может ещё дополнения не адаптировали под эту версию?

[Sapfira 608]

Иконки дополнений стали сплюснутыми

Глюк какой-то. У меня всё нормально с иконками.

[Friend 1 246]

Согласен с @Sapfira,